Windows 防火牆:允許輸入的遠端系統管理例外

允許這部電腦的遠端系統管理，使用像是 Microsoft Management Console (MMC)，以及 Windows Management Instrumentation (WMI) 的系統管理工具。為了允許遠端系統管理，Windows 防火牆會開啟 TCP 連接埠 135 及 445。服務一般會使用這些連接埠，藉由遠端程序呼叫 (RPC) 和分散式元件物件模式 (DCOM) 來通訊。此外，在 Windows XP Professional (至少需 SP2) 與 Windows Server 2003 (至少需 SP1)，此原則設定也會允許 SVCHOST.EXE 與 LSASS.EXE 接收未經要求之傳入訊息，並允許承載的服務開啟額外動態指派的連接埠，通常是在 1024 到 1034 的範圍內。在 Windows Vista 上，此原則設定不會控制到 SVCHOST.EXE 與 LSASS.EXE 的連線。

如果您啟用此原則設定，Windows 防火牆會允許電腦接收與遠端系統管理有關的未經要求之傳入訊息。您必須指定允許這些傳入訊息的 IP 位址或子網路。

如果您停用或不設定這個原則設定，Windows 防火牆將不會開啟 TCP 連接埠 135 或 445。而在 在 Windows XP Professional (至少需 SP2) 與 Windows Server 2003 (至少需 SP1) 上，Windows 防火牆會防止 SVCHOST.EXE 與 LSASS.EXE 接收未經要求之傳入訊息，並防止承載的服務開啟另外動態指派的連接埠。因為停用這個原則設定並不會封鎖 TCP 連接埠 445，它不會和 [Windows 防火牆:允許檔案和印表機共用例外] 原則設定相衝突。

請注意: 心懷不軌的使用者常會使用 RPC 和 DCOM，企圖攻擊網路及電腦。我們建議您連絡重要程式的製造商，以判斷是否要使用 SVCHOST.exe 或 LSASS.exe 來裝載程式，或是否需要 RPC 及 DCOM 通訊。如果不需要，則請不要啟用此原則設定。

請注意: 如果任何原則設定開啟 TCP 連接埠 445，Windows 防火牆會允許輸入 ICMP 回應要求訊息 (由 Ping 公用程式傳送的訊息)，即使 [Windows 防火牆:允許 ICMP 例外] 原則設定會阻擋它們。可以開啟 TCP 連接埠 445 的原則設定包含 [Windows 防火牆:允許輸入檔案和印表機共用例外]、[Windows 防火牆:允許輸入遠端系統管理例外] 以及 [Windows 防火牆:定義輸入連接埠例外]。

Allow unsolicited incoming messages from these IP addresses:

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings
Value Name	RemoteAddresses
Value Type	REG_SZ
Default Value

Syntax:

Type "*" to allow messages from any network, or

else type a comma-separated list that contains

any number or combination of these:

IP addresses, such as 10.0.0.1

Subnet descriptions, such as 10.2.3.0/24

The string "localsubnet"

Example: to allow messages from 10.0.0.1,

10.0.0.2, and from any system on the

local subnet or on the 10.3.4.x subnet,

type the following in the "Allow unsolicited"

incoming messages from these IP addresses":

10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24